Μέθοδοι κοινωνικής μηχανικής. Τεχνικές κοινωνικής μηχανικής Εκπαίδευση κοινωνικής μηχανικής

Μέθοδοι κοινωνικής μηχανικής - αυτό ακριβώς θα συζητηθεί σε αυτό το άρθρο, καθώς και οτιδήποτε σχετίζεται με τη χειραγώγηση ανθρώπων, το ηλεκτρονικό ψάρεμα και την κλοπή βάσεων δεδομένων πελατών και πολλά άλλα. Ο Andrey Serikov μας παρείχε ευγενικά πληροφορίες, ο συγγραφέας των οποίων είναι, για τις οποίες τον ευχαριστούμε πολύ.

Α. ΣΕΡΙΚΟΦ

A.B.BOROVSKY

ΠΛΗΡΟΦΟΡΙΑΚΕΣ ΤΕΧΝΟΛΟΓΙΕΣ ΚΟΙΝΩΝΙΚΟΥ HACKING

Εισαγωγή

Η επιθυμία της ανθρωπότητας να επιτύχει τέλεια εκπλήρωση των ανατεθέντων καθηκόντων χρησίμευσε ως ανάπτυξη του σύγχρονου εξοπλισμός υπολογιστών, και οι προσπάθειες να ικανοποιηθούν οι αντικρουόμενες απαιτήσεις των ανθρώπων οδήγησαν στην ανάπτυξη προϊόντων λογισμικού. Αυτά τα προϊόντα λογισμικού όχι μόνο διατηρούν τη λειτουργικότητα του υλικού, αλλά και τη διαχειρίζονται.

Η ανάπτυξη της γνώσης για τον άνθρωπο και τον υπολογιστή οδήγησε στην εμφάνιση ενός θεμελιωδώς νέου τύπου συστήματος - «ανθρώπου-μηχανής», όπου ένα άτομο μπορεί να τοποθετηθεί ως ένα υλικό που λειτουργεί υπό τον έλεγχο μιας σταθερής, λειτουργικής λειτουργίας πολλαπλών εργασιών. σύστημα που ονομάζεται «ψυχή».

Το θέμα της εργασίας είναι η θεώρηση του social hacking ως κλάδου του κοινωνικού προγραμματισμού, όπου ένα άτομο χειραγωγείται με τη βοήθεια ανθρώπινων αδυναμιών, προκαταλήψεων και στερεοτύπων στην κοινωνική μηχανική.

Η κοινωνική μηχανική και οι μέθοδοι της

Οι μέθοδοι ανθρώπινης χειραγώγησης είναι γνωστές εδώ και πολύ καιρό· προήλθαν κυρίως στην κοινωνική μηχανική από το οπλοστάσιο διαφόρων υπηρεσιών πληροφοριών.

Η πρώτη γνωστή περίπτωση ανταγωνιστικής νοημοσύνης χρονολογείται από τον 6ο αιώνα π.Χ. και συνέβη στην Κίνα, όταν οι Κινέζοι έχασαν το μυστικό της κατασκευής μεταξιού, το οποίο κλάπηκε με δόλο από Ρωμαίους κατάσκοποι.

Η κοινωνική μηχανική είναι μια επιστήμη που ορίζεται ως ένα σύνολο μεθόδων χειρισμού της ανθρώπινης συμπεριφοράς, που βασίζεται στην εκμετάλλευση των αδυναμιών του ανθρώπινου παράγοντα, χωρίς τη χρήση τεχνικά μέσα.

Σύμφωνα με πολλούς ειδικούς, η μεγαλύτερη απειλή ασφάλεια πληροφοριώναντιπροσωπεύουν ακριβώς τις μεθόδους κοινωνικής μηχανικής, έστω και μόνο επειδή η χρήση του social hacking δεν απαιτεί σημαντικές οικονομικές επενδύσεις και ενδελεχή γνώση της τεχνολογίας των υπολογιστών, καθώς και επειδή οι άνθρωποι έχουν ορισμένες συμπεριφορικές κλίσεις που μπορούν να χρησιμοποιηθούν για προσεκτική χειραγώγηση.

Και όσο κι αν βελτιωνόμαστε τεχνικά συστήματαπροστασία, οι άνθρωποι θα παραμείνουν άνθρωποι με τις αδυναμίες, τις προκαταλήψεις, τα στερεότυπά τους, με τη βοήθεια των οποίων γίνεται η διαχείριση. Η δημιουργία ενός ανθρώπινου «προγράμματος ασφαλείας» είναι η πιο δύσκολη εργασία και δεν οδηγεί πάντα σε εγγυημένα αποτελέσματα, καθώς αυτό το φίλτρο πρέπει να ρυθμίζεται συνεχώς. Εδώ, το κύριο σύνθημα όλων των ειδικών σε θέματα ασφάλειας ακούγεται πιο επίκαιρο από ποτέ: «Η ασφάλεια είναι μια διαδικασία, όχι ένα αποτέλεσμα».

Τομείς εφαρμογής της κοινωνικής μηχανικής:

  1. γενική αποσταθεροποίηση του έργου του οργανισμού προκειμένου να μειωθεί η επιρροή του και η πιθανότητα επακόλουθης πλήρους καταστροφής του οργανισμού·
  2. οικονομική απάτη σε οργανισμούς·
  3. phishing και άλλες μέθοδοι κλοπής κωδικών πρόσβασης για πρόσβαση σε προσωπικά τραπεζικά δεδομένα ιδιωτών·
  4. κλοπή βάσεων δεδομένων πελατών·
  5. ανταγωνιστική ευφυια;
  6. γενικές πληροφορίες για τον οργανισμό, τα δυνατά του σημεία και αδυναμίες, με στόχο τη μεταγενέστερη καταστροφή αυτής της οργάνωσης με τον ένα ή τον άλλο τρόπο (συχνά χρησιμοποιείται για επιθέσεις επιδρομέων).
  7. πληροφορίες σχετικά με τους πιο υποσχόμενους υπαλλήλους με στόχο να τους «δελεάσουν» περαιτέρω στον οργανισμό σας.

Κοινωνικός προγραμματισμός και social hacking

Ο κοινωνικός προγραμματισμός μπορεί να ονομαστεί μια εφαρμοσμένη πειθαρχία που ασχολείται με στοχευμένη επιρροή σε ένα άτομο ή μια ομάδα ανθρώπων προκειμένου να αλλάξει ή να διατηρήσει τη συμπεριφορά του προς την επιθυμητή κατεύθυνση. Έτσι, ο κοινωνικός προγραμματιστής θέτει έναν στόχο: να κατακτήσει την τέχνη της διαχείρισης ανθρώπων. Η βασική έννοια του κοινωνικού προγραμματισμού είναι ότι οι ενέργειες πολλών ανθρώπων και οι αντιδράσεις τους στη μία ή την άλλη εξωτερική επιρροή είναι σε πολλές περιπτώσεις προβλέψιμες.

Οι μέθοδοι κοινωνικού προγραμματισμού είναι ελκυστικές επειδή είτε κανείς δεν θα τις μάθει ποτέ, είτε ακόμα κι αν κάποιος μαντέψει κάτι, είναι πολύ δύσκολο να φέρεις μια τέτοια φιγούρα στη δικαιοσύνη και σε ορισμένες περιπτώσεις είναι δυνατό να «προγραμματίσεις» τη συμπεριφορά των ανθρώπων και ένα άτομο και μια μεγάλη ομάδα. Αυτές οι ευκαιρίες εμπίπτουν στην κατηγορία του social hacking ακριβώς επειδή σε όλες οι άνθρωποι εκτελούν τη θέληση κάποιου άλλου, σαν να υπακούουν σε ένα «πρόγραμμα» που έχει γραφτεί από έναν κοινωνικό χάκερ.

Το social hacking ως η ικανότητα να χακάρετε ένα άτομο και να τον προγραμματίσετε να εκτελέσει τις επιθυμητές ενέργειες προέρχεται από τον κοινωνικό προγραμματισμό - μια εφαρμοσμένη πειθαρχία της κοινωνικής μηχανικής, όπου ειδικοί σε αυτόν τον τομέα - social hackers - χρησιμοποιούν τεχνικές ψυχολογικής επιρροής και δράσης, δανεισμένες από το οπλοστάσιο των υπηρεσιών πληροφοριών.

Το social hacking χρησιμοποιείται στις περισσότερες περιπτώσεις όταν πρόκειται για επίθεση σε άτομο που είναι μέρος ενός συστήματος υπολογιστή. Το σύστημα υπολογιστή που παραβιάζεται δεν υπάρχει από μόνο του. Περιέχει ένα σημαντικό συστατικό - ένα άτομο. Και για να πάρει πληροφορίες, ένας κοινωνικός χάκερ πρέπει να χακάρει ένα άτομο που εργάζεται με υπολογιστή. Στις περισσότερες περιπτώσεις, είναι πιο εύκολο να το κάνετε αυτό από το να χακάρετε τον υπολογιστή του θύματος σε μια προσπάθεια να μάθετε τον κωδικό πρόσβασης.

Τυπικός αλγόριθμος επιρροής στο social hacking:

Όλες οι επιθέσεις από κοινωνικούς χάκερ χωρούν σε ένα αρκετά απλό σχήμα:

  1. διατυπώνεται ο σκοπός της επιρροής ενός συγκεκριμένου αντικειμένου.
  2. πληροφορίες σχετικά με το αντικείμενο συλλέγονται προκειμένου να εντοπιστούν οι πιο βολικοί στόχοι επιρροής.
  3. Με βάση τις πληροφορίες που συγκεντρώθηκαν, υλοποιείται ένα στάδιο που οι ψυχολόγοι ονομάζουν έλξη. Έλξη (από το λατινικό Attrahere - προσέλκυση, προσέλκυση) είναι η δημιουργία των απαραίτητων συνθηκών για την επιρροή ενός αντικειμένου.
  4. αναγκάζοντας έναν κοινωνικό χάκερ να αναλάβει δράση·

Ο εξαναγκασμός επιτυγχάνεται με την εκτέλεση των προηγούμενων σταδίων, δηλαδή, αφού επιτευχθεί η έλξη, το ίδιο το θύμα κάνει τις απαραίτητες ενέργειες για τον κοινωνικό μηχανικό.

Με βάση τις πληροφορίες που συλλέχθηκαν, οι κοινωνικοί χάκερ προβλέπουν με ακρίβεια τον ψυχο- και κοινωνιότυπο του θύματος, εντοπίζοντας όχι μόνο τις ανάγκες για φαγητό, σεξ, κ.λπ., αλλά και την ανάγκη για αγάπη, την ανάγκη για χρήματα, την ανάγκη για άνεση κ.λπ. ., και τα λοιπά.

Και πράγματι, γιατί να προσπαθήσετε να διεισδύσετε σε αυτήν ή την άλλη εταιρεία, να χακάρετε υπολογιστές, ΑΤΜ, να οργανώσετε πολύπλοκους συνδυασμούς, όταν μπορείτε να κάνετε τα πάντα πιο εύκολα: να κάνετε έναν άνθρωπο να σας ερωτευτεί, ο οποίος, με τη θέλησή του, θα μεταφέρει χρήματα στο καθορισμένο λογαριασμό ή κοινοποίηση των απαραίτητων χρημάτων κάθε φορά;

Με βάση το γεγονός ότι οι ενέργειες των ανθρώπων είναι προβλέψιμες και υπόκεινται επίσης σε ορισμένους νόμους, οι κοινωνικοί χάκερ και οι κοινωνικοί προγραμματιστές χρησιμοποιούν τόσο πρωτότυπα πολλαπλά βήματα όσο και απλές θετικές και αρνητικές τεχνικές βασισμένες στην ψυχολογία της ανθρώπινης συνείδησης, προγράμματα συμπεριφοράς, δονήσεις εσωτερικών οργάνων, λογικές σκέψη, φαντασία, μνήμη, προσοχή. Αυτές οι τεχνικές περιλαμβάνουν:

Γεννήτρια ξύλου - δημιουργεί ταλαντώσεις της ίδιας συχνότητας με τη συχνότητα των ταλαντώσεων των εσωτερικών οργάνων, μετά την οποία παρατηρείται ένα φαινόμενο συντονισμού, ως αποτέλεσμα του οποίου οι άνθρωποι αρχίζουν να αισθάνονται σοβαρή δυσφορία και κατάσταση πανικού.

αντίκτυπο στη γεωγραφία του πλήθους - για την ειρηνική διάλυση εξαιρετικά επικίνδυνων επιθετικών, μεγάλων ομάδων ανθρώπων.

ήχους υψηλής συχνότητας και χαμηλής συχνότητας - για να προκαλέσει πανικό και το αντίστροφο αποτέλεσμα, καθώς και άλλους χειρισμούς.

πρόγραμμα κοινωνικής μίμησης - ένα άτομο καθορίζει την ορθότητα των ενεργειών ανακαλύπτοντας ποιες ενέργειες άλλοι άνθρωποι θεωρούν σωστές.

πρόγραμμα claquering - (βασισμένο στην κοινωνική μίμηση) οργάνωση της απαραίτητης αντίδρασης από το κοινό.

σχηματισμός ουρών - (με βάση την κοινωνική μίμηση) μια απλή αλλά αποτελεσματική διαφημιστική κίνηση.

πρόγραμμα αμοιβαίας βοήθειας - ένα άτομο επιδιώκει να ανταποδώσει την καλοσύνη σε εκείνους τους ανθρώπους που του έχουν κάνει κάποια καλοσύνη. Η επιθυμία να εκπληρώσει αυτό το πρόγραμμα συχνά υπερβαίνει κάθε λογική.

Social hacking στο Διαδίκτυο

Με την έλευση και την ανάπτυξη του Διαδικτύου - ένα εικονικό περιβάλλον που αποτελείται από ανθρώπους και τις αλληλεπιδράσεις τους, το περιβάλλον χειραγώγησης ενός ατόμου για τη λήψη των απαραίτητων πληροφοριών και την εκτέλεση των απαραίτητων ενεργειών έχει επεκταθεί. Στις μέρες μας, το Διαδίκτυο είναι ένα μέσο παγκόσμιας μετάδοσης, ένα μέσο συνεργασίας, επικοινωνίας και καλύπτει ολόκληρη την υδρόγειο. Αυτό ακριβώς χρησιμοποιούν οι κοινωνικοί μηχανικοί για να επιτύχουν τους στόχους τους.

Τρόποι χειραγώγησης ενός ατόμου μέσω του Διαδικτύου:

ΣΕ σύγχρονος κόσμοςοι ιδιοκτήτες σχεδόν κάθε εταιρείας έχουν ήδη συνειδητοποιήσει ότι το Διαδίκτυο είναι ένα πολύ αποτελεσματικό και βολικό μέσο για την επέκταση της επιχείρησής τους και το κύριο καθήκον του είναι να αυξήσει τα κέρδη ολόκληρης της εταιρείας. Είναι γνωστό ότι χωρίς πληροφορίες που στοχεύουν στην προσέλκυση της προσοχής στο επιθυμητό αντικείμενο, στη δημιουργία ή διατήρηση ενδιαφέροντος για αυτό και στην προώθηση του στην αγορά, χρησιμοποιείται διαφήμιση. Μόνο που, λόγω του γεγονότος ότι η διαφημιστική αγορά είναι εδώ και καιρό διχασμένη, τα περισσότερα είδη διαφήμισης για τους περισσότερους επιχειρηματίες είναι πεταμένα χρήματα. Η διαφήμιση στο Διαδίκτυο δεν είναι απλώς ένα από τα είδη διαφήμισης στα μέσα ενημέρωσης, είναι κάτι περισσότερο, αφού με τη βοήθεια της διαφήμισης στο Διαδίκτυο άτομα που ενδιαφέρονται για συνεργασία έρχονται στην ιστοσελίδα του οργανισμού.

Η διαφήμιση στο Διαδίκτυο, σε αντίθεση με τη διαφήμιση στα ΜΜΕ, έχει πολλές περισσότερες ευκαιρίες και παραμέτρους για τη διαχείριση μιας διαφημιστικής εταιρείας. Ο πιο σημαντικός δείκτης της διαφήμισης στο Διαδίκτυο είναι αυτός Τα τέλη διαφήμισης στο Διαδίκτυο χρεώνονται μόνο όταν κάνετε εναλλαγήενδιαφερόμενος χρήστης μέσω διαφημιστικού συνδέσμου, κάτι που φυσικά κάνει τη διαφήμιση στο Διαδίκτυο πιο αποτελεσματική και λιγότερο δαπανηρή από τη διαφήμιση στα μέσα. Έτσι, έχοντας υποβάλει διαφήμιση στην τηλεόραση ή στα έντυπα μέσα, την πληρώνουν πλήρως και απλώς περιμένουν πιθανούς πελάτες, αλλά οι πελάτες μπορούν να ανταποκριθούν στη διαφήμιση ή όχι - όλα εξαρτώνται από την ποιότητα της παραγωγής και της παρουσίασης της διαφήμισης στην τηλεόραση ή τις εφημερίδες , ωστόσο, ο διαφημιστικός προϋπολογισμός έχει ήδη δαπανηθεί στην περίπτωση Εάν η διαφήμιση δεν λειτούργησε, ήταν χαμένη. Σε αντίθεση με τέτοιες διαφημίσεις μέσων, η διαφήμιση στο Διαδίκτυο έχει τη δυνατότητα να παρακολουθεί την ανταπόκριση του κοινού και να διαχειρίζεται τη διαφήμιση στο Διαδίκτυο πριν δαπανηθεί ο προϋπολογισμός του· επιπλέον, η διαφήμιση στο Διαδίκτυο μπορεί να ανασταλεί όταν η ζήτηση για προϊόντα αυξηθεί και να συνεχιστεί όταν η ζήτηση αρχίσει να μειώνεται.

Μια άλλη μέθοδος επιρροής είναι το λεγόμενο «Killing of forum» όπου, με τη βοήθεια κοινωνικού προγραμματισμού, δημιουργούν αντι-διαφήμιση για ένα συγκεκριμένο έργο. Σε αυτήν την περίπτωση, ο κοινωνικός προγραμματιστής, με τη βοήθεια προφανών προκλητικών ενεργειών, καταστρέφει μόνος του το φόρουμ, χρησιμοποιώντας πολλά ψευδώνυμα ( παρατσούκλι) να δημιουργήσει μια ομάδα κατά των ηγετών γύρω από τον εαυτό του, και να προσελκύσει τακτικούς επισκέπτες στο έργο που είναι δυσαρεστημένοι με τη συμπεριφορά της διοίκησης. Στο τέλος τέτοιων εκδηλώσεων, καθίσταται αδύνατη η προώθηση προϊόντων ή ιδεών στο φόρουμ. Για αυτό το φόρουμ δημιουργήθηκε αρχικά.

Μέθοδοι επιρροής ενός ατόμου μέσω του Διαδικτύου για σκοπούς κοινωνικής μηχανικής:

Το ηλεκτρονικό ψάρεμα (phishing) είναι ένας τύπος διαδικτυακής απάτης που στοχεύει στην απόκτηση πρόσβασης σε εμπιστευτικά δεδομένα χρηστών - στοιχεία σύνδεσης και κωδικούς πρόσβασης. Αυτή η λειτουργία επιτυγχάνεται με τη διεξαγωγή μαζικές αποστολές email για λογαριασμό δημοφιλών εμπορικών σημάτων, καθώς και προσωπικά μηνύματα σε διάφορες υπηρεσίες (Rambler), τράπεζες ή μέσα σε κοινωνικά δίκτυα (Facebook). Η επιστολή περιέχει συχνά έναν σύνδεσμο προς έναν ιστότοπο που εξωτερικά δεν διακρίνεται από τον πραγματικό. Αφού ο χρήστης προσγειωθεί σε μια ψεύτικη σελίδα, οι κοινωνικοί μηχανικοί χρησιμοποιούν διάφορες τεχνικές για να ενθαρρύνουν τον χρήστη να εισάγει τα στοιχεία σύνδεσης και τον κωδικό πρόσβασής του στη σελίδα, τα οποία χρησιμοποιεί για να αποκτήσει πρόσβαση σε έναν συγκεκριμένο ιστότοπο, που του επιτρέπει να αποκτήσει πρόσβαση σε λογαριασμούς και τραπεζικούς λογαριασμούς.

Ένα πιο επικίνδυνο είδος απάτης από το phishing είναι το λεγόμενο pharming.

Το Pharming είναι ένας μηχανισμός για κρυφή ανακατεύθυνση των χρηστών σε ιστότοπους phishing. Ο κοινωνικός μηχανικός διανέμει ειδικά κακόβουλα προγράμματα στους υπολογιστές των χρηστών, τα οποία, μόλις εκκινηθούν στον υπολογιστή, ανακατευθύνουν αιτήματα από τους απαραίτητους ιστότοπους σε ψεύτικους. Έτσι, η επίθεση είναι άκρως μυστική και η συμμετοχή των χρηστών ελαχιστοποιείται - αρκεί να περιμένετε μέχρι ο χρήστης να αποφασίσει να επισκεφτεί τους ιστότοπους που ενδιαφέρουν τον κοινωνικό μηχανικό.

συμπέρασμα

Η κοινωνική μηχανική είναι μια επιστήμη που προέκυψε από την κοινωνιολογία και ισχυρίζεται ότι είναι το σώμα γνώσης που καθοδηγεί, βάζει σε τάξη και βελτιστοποιεί τη διαδικασία δημιουργίας, εκσυγχρονισμού και αναπαραγωγής νέων («τεχνητών») κοινωνικών πραγματικοτήτων. Κατά κάποιο τρόπο, «ολοκληρώνει» την κοινωνιολογική επιστήμη, την ολοκληρώνει στη φάση της μετατροπής της επιστημονικής γνώσης σε μοντέλα, έργα και σχέδια κοινωνικών θεσμών, αξιών, κανόνων, αλγορίθμων δραστηριότητας, σχέσεων, συμπεριφοράς κ.λπ.

Παρά το γεγονός ότι η Κοινωνική Μηχανική είναι μια σχετικά νέα επιστήμη, προκαλεί μεγάλη ζημιά στις διαδικασίες που συμβαίνουν στην κοινωνία.

Οι απλούστερες μέθοδοι προστασίας από τις επιπτώσεις αυτής της καταστροφικής επιστήμης είναι:

Εφιστώντας την προσοχή των πολιτών σε θέματα ασφάλειας.

Οι χρήστες κατανοούν τη σοβαρότητα του προβλήματος και αποδέχονται την πολιτική ασφάλειας του συστήματος.

Βιβλιογραφία

1. R. Petersen Linux: Πλήρης Οδηγός: ανά. από τα Αγγλικά — 3η έκδ. - K.: BHV Publishing Group, 2000. – 800 p.

2. Από το Grodnev Internet στο σπίτι σας. - Μ.: “RIPOL CLASSIC”, 2001. -480 σελ.

3. M. V. Kuznetsov Κοινωνική μηχανική και κοινωνική πειρατεία. Αγία Πετρούπολη: BHV-Petersburg, 2007. - 368 σελ.: ill.

Τεχνικές κοινωνικής μηχανικής Ο ανθρώπινος εγκέφαλος είναι ένας μεγάλος σκληρός δίσκος, μια αποθήκη τεράστιου όγκου πληροφοριών. Και τόσο ο ιδιοκτήτης όσο και οποιοδήποτε άλλο άτομο μπορούν να χρησιμοποιήσουν αυτές τις πληροφορίες. Όπως λένε, ο ομιλητής είναι δώρο θεού για έναν κατάσκοπο. Για να κατανοήσετε περαιτέρω το νόημα των παρακάτω, θα πρέπει τουλάχιστον να είστε εξοικειωμένοι με τα βασικά της ψυχολογίας.
Η κοινωνική μηχανική μας επιτρέπει "χρησιμοποίησε το μυαλό σου"άλλο άτομο, χρησιμοποιώντας διάφορες μεθόδους, και να λάβει τις απαραίτητες πληροφορίες από αυτόν.
Το Wiki λέει: «Η κοινωνική μηχανική είναι μια μέθοδος ελέγχου των ανθρώπινων πράξεων χωρίς τη χρήση τεχνικών μέσων»


Κοινωνική μηχανική- Αυτό είναι ένα είδος νεαρής επιστήμης. Υπάρχουν πολλές μέθοδοι και τεχνικές χειρισμού της ανθρώπινης συνείδησης. Ο Kevin Mitnick είχε δίκιο όταν είπε ότι μερικές φορές είναι πιο εύκολο να εξαπατήσεις και να πάρεις πληροφορίες παρά να χακάρεις την πρόσβαση σε αυτές. Διαβάστε το βιβλίο «Η τέχνη της εξαπάτησης» με τον ελεύθερο χρόνο σας, θα σας αρέσει.
Υπάρχει αντίστροφη κοινωνική μηχανική, που αποσκοπεί στην απόκτηση στοιχείων από το ίδιο το θύμα. Με τη βοήθειά του, το ίδιο το θύμα μιλά για τους κωδικούς και τα δεδομένα του.

Δεν υπάρχουν χειρονομίες, τονισμός ή εκφράσεις προσώπου στο Διαδίκτυο. Όλη η επικοινωνία βασίζεται σε γραπτά μηνύματα. Και η επιτυχία σας σε μια δεδομένη κατάσταση εξαρτάται από το πώς τα μηνύματά σας επηρεάζουν τον συνομιλητή. Ποιες τεχνικές μπορούν να χρησιμοποιηθούν για να χειραγωγήσουν κρυφά τη συνείδηση ​​ενός ατόμου;

Προκλητικός
Αυστηρά μιλώντας, αυτό είναι τρολάρισμα. Εξοργίζοντας ένα άτομο, στις περισσότερες περιπτώσεις αντιμετωπίζει τις πληροφορίες χωρίς κριτική. Σε αυτήν την κατάσταση, μπορείτε να επιβάλετε ή να λάβετε τις απαραίτητες πληροφορίες.

Αγάπη
Αυτή είναι ίσως η πιο αποτελεσματική τεχνική. Στις περισσότερες περιπτώσεις, αυτό είναι αυτό που χρησιμοποίησα)). Σε μια κατάσταση αγάπης, ένα άτομο αντιλαμβάνεται λίγα και αυτό ακριβώς χρειάζεται ο χειριστής.

Αδιαφορία
Δημιουργείται το αποτέλεσμα της αδιαφορίας του χειριστή για ένα συγκεκριμένο θέμα και ο συνομιλητής, με τη σειρά του, προσπαθεί να τον πείσει, πέφτοντας έτσι σε μια παγίδα και αποκαλύπτοντας τις πληροφορίες που χρειάζεστε.

Βιασύνη
Συχνά προκύπτουν καταστάσεις όταν ο χειριστής υποτίθεται ότι βιάζεται να φτάσει κάπου και το υπαινίσσεται συνεχώς, αλλά ταυτόχρονα προωθεί σκόπιμα τις πληροφορίες που χρειάζεται.

Υποψία
Η μέθοδος της καχυποψίας μοιάζει κάπως με τη μέθοδο της αδιαφορίας. Στην πρώτη περίπτωση, το θύμα αποδεικνύει το αντίθετο· στη δεύτερη, το θύμα προσπαθεί να δικαιολογήσει «την υποψία του», μη συνειδητοποιώντας έτσι ότι δίνει όλες τις πληροφορίες.

Ειρωνεία
Παρόμοια με την τεχνική της πρόκλησης. Ένας χειριστής θυμώνει ένα άτομο με το να είναι ειρωνικός. Αυτός, με τη σειρά του, με θυμό δεν είναι σε θέση να αξιολογήσει κριτικά τις πληροφορίες. Ως αποτέλεσμα, δημιουργείται μια τρύπα στο ψυχολογικό φράγμα, την οποία εκμεταλλεύεται ο χειριστής.

Παρρησία
Όταν ο χειριστής λέει στον συνομιλητή ειλικρινείς πληροφορίες, ο συνομιλητής αναπτύσσει κάποιο είδος σχέσης εμπιστοσύνης, που συνεπάγεται αποδυνάμωση του προστατευτικού φραγμού. Αυτό δημιουργεί ένα κενό στην ψυχολογική άμυνα.

Οι τεχνικές που περιγράφονται παραπάνω δεν εξαντλούν πλήρως το πλήρες δυναμικό της κοινωνικής μηχανικής. Αυτές οι τεχνικές και μέθοδοι μπορούν να συζητηθούν και να συζητηθούν. Αφού διαβάσετε αυτές τις τεχνικές, θα πρέπει να συνειδητοποιήσετε ότι δεν χρειάζεται να ακολουθήσετε το παράδειγμα όλων. Μάθετε να ελέγχετε τον εαυτό σας και το θυμό σας και τότε η άμυνά σας θα είναι πάντα στο σωστό επίπεδο.
Το δικό μας συνεχίζεται. Περιμένετε νέα άρθρα))

Κοινωνική μηχανική

Κοινωνική μηχανικήείναι μια μέθοδος μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες ή συστήματα αποθήκευσης πληροφοριών χωρίς τη χρήση τεχνικών μέσων. Ο κύριος στόχος των κοινωνικών μηχανικών, όπως και άλλων hackers και crackers, είναι να αποκτήσουν πρόσβαση σε ασφαλή συστήματα προκειμένου να κλέψουν πληροφορίες, κωδικούς πρόσβασης, πληροφορίες πιστωτικών καρτών κ.λπ. Η βασική διαφορά από το απλό hacking είναι ότι στην περίπτωση αυτή, ως στόχος της επίθεσης δεν επιλέγεται το μηχάνημα, αλλά ο χειριστής του. Γι' αυτό όλες οι μέθοδοι και οι τεχνικές των κοινωνικών μηχανικών βασίζονται στη χρήση των αδυναμιών του ανθρώπινου παράγοντα, ο οποίος θεωρείται εξαιρετικά καταστροφικός, αφού ο εισβολέας λαμβάνει πληροφορίες, για παράδειγμα, χρησιμοποιώντας τα συνηθισμένα τηλεφωνική συνομιλίαείτε με διείσδυση σε έναν οργανισμό υπό το πρόσχημα του υπαλλήλου. Για να προστατευτείτε από αυτό το είδος επίθεσης, θα πρέπει να γνωρίζετε τους πιο συνηθισμένους τύπους απάτης, να κατανοείτε τι θέλουν πραγματικά οι χάκερ και να οργανώσετε έγκαιρα μια κατάλληλη πολιτική ασφαλείας.

Ιστορία

Παρά το γεγονός ότι η έννοια της «κοινωνικής μηχανικής» εμφανίστηκε σχετικά πρόσφατα, οι άνθρωποι με τη μία ή την άλλη μορφή έχουν χρησιμοποιήσει τις τεχνικές της από αμνημονεύτων χρόνων. Στην Αρχαία Ελλάδα και τη Ρώμη, είχαν μεγάλη εκτίμηση οι άνθρωποι που μπορούσαν να πείσουν με διάφορους τρόπους τον συνομιλητή τους ότι προφανώς έκανε λάθος. Μιλώντας εκ μέρους των ηγετών, διεξήγαγαν διπλωματικές διαπραγματεύσεις. Χρησιμοποιώντας επιδέξια ψέματα, κολακείες και πλεονεκτήματα επιχειρήματα, έλυναν συχνά προβλήματα που έμοιαζαν αδύνατο να επιλυθούν χωρίς τη βοήθεια σπαθιού. Μεταξύ των κατασκόπων, η κοινωνική μηχανική ήταν πάντα το κύριο όπλο. Υποδυόμενοι ένα άλλο άτομο, οι πράκτορες της KGB και της CIA μπορούσαν να ανακαλύψουν μυστικά κρατικά μυστικά. Στις αρχές της δεκαετίας του '70, κατά τη διάρκεια της ακμής του phreaking, ορισμένοι τηλεφωνικοί χούλιγκαν κάλεσαν τηλεπικοινωνιακούς φορείς και προσπάθησαν να αποσπάσουν εμπιστευτικές πληροφορίες από το τεχνικό προσωπικό της εταιρείας. Μετά από διάφορα πειράματα με κόλπα, μέχρι τα τέλη της δεκαετίας του '70, οι phreakers είχαν τελειοποιήσει τόσο πολύ τις τεχνικές χειραγώγησης μη εκπαιδευμένων χειριστών που μπορούσαν εύκολα να μάθουν από αυτούς σχεδόν όλα όσα ήθελαν.

Αρχές και τεχνικές κοινωνικής μηχανικής

Υπάρχουν πολλές κοινές τεχνικές και είδη επιθέσεων που χρησιμοποιούν οι κοινωνικοί μηχανικοί. Όλες αυτές οι τεχνικές βασίζονται σε χαρακτηριστικά της ανθρώπινης λήψης αποφάσεων γνωστά ως γνωστικές (βλέπε επίσης Γνωστικές) προκαταλήψεις. Αυτές οι προκαταλήψεις χρησιμοποιούνται σε διάφορους συνδυασμούς για τη δημιουργία της πιο κατάλληλης στρατηγικής εξαπάτησης σε κάθε συγκεκριμένη περίπτωση. Όμως το κοινό χαρακτηριστικό όλων αυτών των μεθόδων είναι η παραπλανητική, με στόχο να αναγκάσουν ένα άτομο να εκτελέσει κάποια ενέργεια που δεν είναι ωφέλιμη για αυτόν και είναι απαραίτητη για τον κοινωνικό μηχανικό. Για να επιτύχει το επιθυμητό αποτέλεσμα, ο επιτιθέμενος χρησιμοποιεί μια σειρά από διάφορες τακτικές: πλαστοπροσωπία ενός άλλου ατόμου, αποσπά την προσοχή, αύξηση ψυχολογικής έντασης κ.λπ. Οι απώτεροι στόχοι της εξαπάτησης μπορεί επίσης να είναι πολύ διαφορετικοί.

Τεχνικές κοινωνικής μηχανικής

Προφάσεις

Το Pretexting είναι ένα σύνολο ενεργειών που εκτελούνται σύμφωνα με ένα συγκεκριμένο, προπαρασκευασμένο σενάριο (pretext). Αυτή η τεχνική περιλαμβάνει τη χρήση φωνητικών μέσων όπως τηλέφωνο, Skype κ.λπ. για να λάβετε τις απαραίτητες πληροφορίες. Συνήθως, παρουσιάζοντας ως τρίτο μέρος ή προσποιούμενος ότι κάποιος χρειάζεται βοήθεια, ο εισβολέας ζητά από το θύμα να παράσχει έναν κωδικό πρόσβασης ή να συνδεθεί σε μια ιστοσελίδα ηλεκτρονικού ψαρέματος, εξαπατώντας έτσι τον στόχο να κάνει μια επιθυμητή ενέργεια ή να παρέχει ορισμένες πληροφορίες. Στις περισσότερες περιπτώσεις, αυτή η τεχνική απαιτεί ορισμένα αρχικά δεδομένα σχετικά με τον στόχο της επίθεσης (για παράδειγμα, προσωπικά δεδομένα: ημερομηνία γέννησης, αριθμός τηλεφώνου, αριθμοί λογαριασμού, κ.λπ.) Η πιο κοινή στρατηγική είναι να χρησιμοποιήσετε αρχικά μικρά ερωτήματα και να αναφέρετε ονόματα πραγματικών ανθρώπων στον οργανισμό. Αργότερα, κατά τη διάρκεια της συνομιλίας, ο εισβολέας εξηγεί ότι χρειάζεται βοήθεια (οι περισσότεροι άνθρωποι είναι ικανοί και πρόθυμοι να εκτελέσουν εργασίες που δεν θεωρούνται ύποπτες). Μόλις εδραιωθεί η εμπιστοσύνη, ο απατεώνας μπορεί να ζητήσει κάτι πιο ουσιαστικό και σημαντικό.

Phishing

Παράδειγμα ηλεκτρονικού "ψαρέματος" που αποστέλλεται από μια υπηρεσία ηλεκτρονικού ταχυδρομείου που ζητά "επανενεργοποίηση λογαριασμού"

Το phishing (αγγλικά phishing, από το ψάρεμα - ψάρεμα, ψάρεμα) είναι ένα είδος διαδικτυακής απάτης, σκοπός του οποίου είναι η απόκτηση πρόσβασης σε απόρρητα δεδομένα χρήστη - στοιχεία σύνδεσης και κωδικούς πρόσβασης. Αυτό είναι ίσως το πιο δημοφιλές πρόγραμμα κοινωνικής μηχανικής σήμερα. Δεν υπάρχει ούτε μία σημαντική διαρροή προσωπικών δεδομένων χωρίς να την ακολουθήσει ένα κύμα ηλεκτρονικού "ψαρέματος" (phishing). Ο σκοπός του phishing είναι η παράνομη απόκτηση εμπιστευτικών πληροφοριών. Το πιο εντυπωσιακό παράδειγμα επίθεσης phishing είναι ένα μήνυμα που αποστέλλεται στο θύμα μέσω ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ, και πλαστογραφημένη ως επίσημη επιστολή - από τράπεζα ή σύστημα πληρωμών - που απαιτεί επαλήθευση ορισμένων πληροφοριών ή εκτέλεση ορισμένων ενεργειών. Μπορεί να υπάρχουν διάφοροι λόγοι. Αυτό μπορεί να είναι απώλεια δεδομένων, αποτυχία συστήματος κ.λπ. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου συνήθως περιέχουν έναν σύνδεσμο προς μια ψεύτικη ιστοσελίδα που μοιάζει ακριβώς με την επίσημη και περιέχει μια φόρμα που απαιτεί από εσάς να εισαγάγετε ευαίσθητες πληροφορίες.

Ένα από τα πιο διάσημα παραδείγματα παγκόσμιων μηνυμάτων ηλεκτρονικού ψαρέματος ήταν μια απάτη του 2003 κατά την οποία χιλιάδες χρήστες του eBay έλαβαν email που ισχυρίζονταν ότι ο λογαριασμός τους είχε κλειδωθεί και απαιτούσαν ενημέρωση των στοιχείων της πιστωτικής τους κάρτας για να τον ξεκλειδώσουν. Όλα αυτά τα email περιείχαν έναν σύνδεσμο που οδηγούσε σε μια ψεύτικη ιστοσελίδα που έμοιαζε ακριβώς με την επίσημη. Σύμφωνα με τους ειδικούς, οι απώλειες από αυτή την απάτη ανήλθαν σε αρκετές εκατοντάδες χιλιάδες δολάρια.

Πώς να αναγνωρίσετε μια επίθεση phishing

Σχεδόν κάθε μέρα εμφανίζονται νέα σχέδια απάτης. Οι περισσότεροι άνθρωποι μπορούν να μάθουν να αναγνωρίζουν τα δόλια μηνύματα μόνοι τους εξοικειώνοντας ορισμένα από τα διακριτικά τους χαρακτηριστικά. Τις περισσότερες φορές, τα μηνύματα ηλεκτρονικού ψαρέματος περιέχουν:

  • πληροφορίες που προκαλούν ανησυχία ή απειλές, όπως το κλείσιμο τραπεζικών λογαριασμών χρηστών.
  • υποσχέσεις για τεράστια χρηματικά έπαθλα με λίγη ή καθόλου προσπάθεια.
  • αιτήματα για εθελοντικές δωρεές για λογαριασμό φιλανθρωπικών οργανώσεων.
  • γραμματικά, στίξη και ορθογραφικά λάθη.

Δημοφιλή προγράμματα phishing

Οι πιο δημοφιλείς απάτες phishing περιγράφονται παρακάτω.

Απάτη χρησιμοποιώντας εμπορικά σήματα διάσημων εταιρειών

Αυτές οι απάτες ηλεκτρονικού ψαρέματος χρησιμοποιούν πλαστά email ή ιστότοπους που περιέχουν ονόματα μεγάλων ή γνωστών εταιρειών. Τα μηνύματα μπορεί να περιλαμβάνουν συγχαρητήρια για τη νίκη σε έναν διαγωνισμό που πραγματοποιήθηκε από την εταιρεία ή για την επείγουσα ανάγκη αλλαγής των διαπιστευτηρίων ή του κωδικού πρόσβασής σας. Παρόμοια δόλια προγράμματα για λογαριασμό της τεχνικής υποστήριξης μπορούν επίσης να πραγματοποιηθούν μέσω τηλεφώνου.

Δόλια λαχεία

Ο χρήστης μπορεί να λάβει μηνύματα που υποδεικνύουν ότι έχει κερδίσει μια λαχειοφόρο αγορά που διεξήχθη από κάποια γνωστή εταιρεία. Επιφανειακά, αυτά τα μηνύματα μπορεί να φαίνονται σαν να στάλθηκαν για λογαριασμό ανώτερου εταιρικού υπαλλήλου.

Ψεύτικα προγράμματα προστασίας από ιούς και ασφάλεια
IVR ή τηλεφωνικό phishing

Αρχή λειτουργίας συστημάτων IVR

Qui about quo

Το Quid pro quo (από το λατινικό Quid pro quo - "αυτό για αυτό") είναι μια συντομογραφία που χρησιμοποιείται συνήθως σε αγγλική γλώσσαμε την έννοια «υπηρεσία για υπηρεσία». Αυτός ο τύπος επίθεσης περιλαμβάνει έναν εισβολέα που καλεί μια εταιρεία σε εταιρικό τηλέφωνο. Στις περισσότερες περιπτώσεις, ο εισβολέας παρουσιάζεται ως υπάλληλος τεχνικής υποστήριξης που ρωτά εάν υπάρχουν τεχνικά προβλήματα. Στη διαδικασία «λύσης» τεχνικών προβλημάτων, ο απατεώνας «αναγκάζει» τον στόχο να εισάγει εντολές που επιτρέπουν στον χάκερ να εκτοξεύσει ή να εγκαταστήσει κακόβουλο λογισμικό. λογισμικόστο μηχάνημα του χρήστη.

Δούρειος ίππος

Μερικές φορές η χρήση Trojans είναι μόνο μέρος μιας προγραμματισμένης επίθεσης πολλαπλών σταδίων ορισμένους υπολογιστές, δίκτυα ή πόρους.

Τύποι Τρώων

Τα Trojans αναπτύσσονται συχνότερα για κακόβουλους σκοπούς. Υπάρχει μια ταξινόμηση όπου χωρίζονται σε κατηγορίες με βάση το πώς οι Trojans διεισδύουν στο σύστημα και προκαλούν βλάβη σε αυτό. Υπάρχουν 5 κύριοι τύποι:

  • απομακρυσμένη πρόσβαση
  • καταστροφή δεδομένων
  • φορτωτής
  • υπηρέτης
  • Απενεργοποιητής προγράμματος ασφαλείας

Στόχοι

Ο σκοπός του προγράμματος Trojan μπορεί να είναι:

  • ανέβασμα και λήψη αρχείων
  • αντιγραφή ψευδών συνδέσμων που οδηγούν σε ψεύτικους ιστότοπους, δωμάτια συνομιλίας ή άλλους ιστότοπους εγγραφής
  • παρεμβολή στην εργασία του χρήστη
  • κλοπή δεδομένων αξίας ή μυστικών, συμπεριλαμβανομένων πληροφοριών επαλήθευσης ταυτότητας, για μη εξουσιοδοτημένη πρόσβαση σε πόρους, απόκτηση στοιχείων τραπεζικών λογαριασμών που θα μπορούσαν να χρησιμοποιηθούν για εγκληματικούς σκοπούς
  • διανομή άλλου κακόβουλου λογισμικού, όπως οι ιοί
  • καταστροφή δεδομένων (διαγραφή ή αντικατάσταση δεδομένων σε δίσκο, δυσδιάκριτη ζημιά σε αρχεία) και εξοπλισμού, απενεργοποίηση ή αστοχία σέρβις συστημάτων υπολογιστών, δικτύων
  • συλλογή διευθύνσεων email και χρήση τους για αποστολή ανεπιθύμητων μηνυμάτων
  • κατασκοπεία του χρήστη και κρυφή επικοινωνία πληροφοριών σε τρίτους, όπως συνήθειες περιήγησης
  • Καταγραφή πατημάτων πλήκτρων για την κλοπή πληροφοριών όπως κωδικοί πρόσβασης και αριθμούς πιστωτικών καρτών
  • απενεργοποίηση ή παρεμβολή στη λειτουργία προγραμμάτων προστασίας από ιούς και τείχη προστασίας

Μεταμφίεση

Πολλά προγράμματα Trojan βρίσκονται στους υπολογιστές των χρηστών εν αγνοία τους. Μερικές φορές οι Trojans καταχωρούνται στο Μητρώο, γεγονός που οδηγεί στην αυτόματη εκκίνησή τους κατά την εκκίνηση λειτουργικό σύστημα. Τα Trojans μπορούν επίσης να συνδυαστούν με νόμιμα αρχεία. Όταν ένας χρήστης ανοίγει ένα τέτοιο αρχείο ή εκκινεί μια εφαρμογή, μαζί με αυτό εκκινείται και ο Trojan.

Πώς λειτουργεί το Trojan

Τα Trojan συνήθως αποτελούνται από δύο μέρη: Client και Server. Ο διακομιστής εκτελείται στο μηχάνημα-θύμα και παρακολουθεί τις συνδέσεις από τον πελάτη. Ενώ ο διακομιστής εκτελείται, παρακολουθεί μια θύρα ή πολλές θύρες για σύνδεση από τον πελάτη. Για να συνδεθεί ένας εισβολέας στον διακομιστή, πρέπει να γνωρίζει τη διεύθυνση IP του μηχανήματος στο οποίο εκτελείται. Ορισμένοι Trojans στέλνουν τη διεύθυνση IP του μηχανήματος θύματος στον επιτιθέμενο μέσω email ή κάποιας άλλης μεθόδου. Μόλις πραγματοποιηθεί μια σύνδεση με τον Διακομιστή, ο Πελάτης μπορεί να του στείλει εντολές, τις οποίες θα εκτελέσει ο Διακομιστής. Επί του παρόντος, χάρη στην τεχνολογία NAT, είναι αδύνατη η πρόσβαση στους περισσότερους υπολογιστές μέσω της εξωτερικής τους διεύθυνσης IP. Γι' αυτό πολλοί Trojans σήμερα συνδέονται με τον υπολογιστή του εισβολέα, ο οποίος είναι υπεύθυνος για τη λήψη συνδέσεων σύνδεσης, αντί ο ίδιος ο εισβολέας να προσπαθεί να συνδεθεί με το θύμα. Πολλοί σύγχρονοι Trojan μπορούν επίσης εύκολα να παρακάμψουν τα τείχη προστασίας σε υπολογιστές χρηστών.

Συλλογή πληροφοριών από ανοιχτές πηγές

Η χρήση τεχνικών κοινωνικής μηχανικής απαιτεί όχι μόνο γνώση ψυχολογίας, αλλά και την ικανότητα συλλογής των απαραίτητων πληροφοριών για ένα άτομο. Ένας σχετικά νέος τρόπος απόκτησης τέτοιων πληροφοριών ήταν η συλλογή του από ανοιχτές πηγές, κυρίως από κοινωνικά δίκτυα. Για παράδειγμα, ιστότοποι όπως livejournal, Odnoklassniki, Vkontakte περιέχουν τεράστιο όγκο δεδομένων που οι άνθρωποι δεν προσπαθούν να κρύψουν. Κατά κανόνα, , Οι χρήστες δεν δίνουν αρκετή προσοχή σε ζητήματα ασφάλειας, αφήνοντας δεδομένα και πληροφορίες σε δημόσιο τομέα που μπορούν να χρησιμοποιηθούν από έναν εισβολέα.

Ένα ενδεικτικό παράδειγμα είναι η ιστορία της απαγωγής του γιου του Evgeniy Kaspersky. Κατά τη διάρκεια της έρευνας, διαπιστώθηκε ότι οι εγκληματίες έμαθαν το καθημερινό πρόγραμμα και τις διαδρομές του εφήβου από τις καταχωρήσεις του στη σελίδα κοινωνικό δίκτυο.

Ακόμη και με τον περιορισμό της πρόσβασης σε πληροφορίες στη σελίδα του κοινωνικού δικτύου, ο χρήστης δεν μπορεί να είναι σίγουρος ότι δεν θα πέσει ποτέ στα χέρια απατεώνων. Για παράδειγμα, ένας Βραζιλιάνος ερευνητής ασφάλειας υπολογιστών έδειξε ότι είναι δυνατό να γίνεις φίλος οποιουδήποτε χρήστη του Facebook μέσα σε 24 ώρες χρησιμοποιώντας τεχνικές κοινωνικής μηχανικής. Κατά τη διάρκεια του πειράματος, ο ερευνητής Nelson Novaes Neto επέλεξε ένα «θύμα» και δημιούργησε έναν ψεύτικο λογαριασμό ενός ατόμου από το περιβάλλον της - το αφεντικό της. Ο Νέτο έστειλε αρχικά αιτήματα φιλίας σε φίλους φίλων του αφεντικού του θύματος και μετά απευθείας στους φίλους του. Μετά από 7,5 ώρες, ο ερευνητής πήρε το «θύμα» για να τον προσθέσει ως φίλο. Έτσι, ο ερευνητής απέκτησε πρόσβαση στα προσωπικά στοιχεία του χρήστη, τα οποία μοιράστηκε μόνο με τους φίλους του.

Οδικό μήλο

Αυτή η μέθοδος επίθεσης είναι μια προσαρμογή του δούρειου ίππου και αποτελείται από τη χρήση φυσικών μέσων. Ο εισβολέας φυτεύει το "μολυσμένο" , ή φλας, σε ένα μέρος όπου μπορεί να βρεθεί εύκολα ο φορέας (τουαλέτα, ασανσέρ, πάρκινγκ). Τα μέσα είναι πλαστά για να φαίνονται επίσημα και συνοδεύονται από μια υπογραφή που έχει σχεδιαστεί για να προκαλέσει την περιέργεια. Για παράδειγμα, ένας απατεώνας μπορεί να φυτέψει μια επιστολή, εξοπλισμένη με εταιρικό λογότυπο και έναν σύνδεσμο προς τον επίσημο ιστότοπο της εταιρείας, με την ένδειξη "Μισθοί στελεχών". Μπορείτε να αφήσετε τον δίσκο στον όροφο του ανελκυστήρα ή στο λόμπι. Ένας υπάλληλος μπορεί εν αγνοία του να πάρει το δίσκο και να τον τοποθετήσει στον υπολογιστή για να ικανοποιήσει την περιέργειά του.

Αντίστροφη κοινωνική μηχανική

Η αντίστροφη κοινωνική μηχανική αναφέρεται όταν το ίδιο το θύμα προσφέρει στον εισβολέα τις πληροφορίες που χρειάζεται. Αυτό μπορεί να φαίνεται παράλογο, αλλά στην πραγματικότητα, άτομα με εξουσία στον τεχνικό ή κοινωνικό τομέα λαμβάνουν συχνά αναγνωριστικά χρήστη και κωδικούς πρόσβασης και άλλες σημαντικές πληροφορίες. προσωπικές πληροφορίεςαπλά γιατί κανείς δεν αμφιβάλλει για την ακεραιότητά τους. Για παράδειγμα, το προσωπικό υποστήριξης δεν ζητά ποτέ από τους χρήστες αναγνωριστικό ή κωδικό πρόσβασης. δεν χρειάζονται αυτές τις πληροφορίες για να λύσουν προβλήματα. Ωστόσο, πολλοί χρήστες παρέχουν οικειοθελώς αυτές τις εμπιστευτικές πληροφορίες προκειμένου να επιλύσουν γρήγορα προβλήματα. Αποδεικνύεται ότι ο εισβολέας δεν χρειάζεται καν να το ρωτήσει.

Ένα παράδειγμα αντίστροφης κοινωνικής μηχανικής είναι το ακόλουθο απλό σενάριο. Ένας εισβολέας που συνεργάζεται με το θύμα αλλάζει το όνομα ενός αρχείου στον υπολογιστή του θύματος ή το μετακινεί σε διαφορετικό κατάλογο. Όταν το θύμα παρατηρεί ότι το αρχείο λείπει, ο εισβολέας ισχυρίζεται ότι μπορεί να διορθώσει τα πάντα. Θέλοντας να ολοκληρώσει τη δουλειά πιο γρήγορα ή να αποφύγει την τιμωρία για απώλεια πληροφοριών, το θύμα συμφωνεί με αυτήν την προσφορά. Ο εισβολέας ισχυρίζεται ότι το πρόβλημα μπορεί να λυθεί μόνο με τη σύνδεση με τα διαπιστευτήρια του θύματος. Τώρα το θύμα ζητά από τον εισβολέα να συνδεθεί με το όνομά του για να προσπαθήσει να επαναφέρει το αρχείο. Ο εισβολέας συμφωνεί απρόθυμα και επαναφέρει το αρχείο και στη διαδικασία κλέβει την ταυτότητα και τον κωδικό πρόσβασης του θύματος. Έχοντας εκτελέσει με επιτυχία την επίθεση, βελτίωσε ακόμη και τη φήμη του και είναι πολύ πιθανό ότι μετά από αυτό άλλοι συνάδελφοι θα στραφούν σε αυτόν για βοήθεια. Αυτή η προσέγγιση δεν παρεμβαίνει στις συνήθεις διαδικασίες για την παροχή υπηρεσιών υποστήριξης και περιπλέκει τη σύλληψη του εισβολέα.

Διάσημοι Κοινωνικοί Μηχανικοί

Κέβιν Μίτνικ

Κέβιν Μίτνικ. Παγκοσμίου φήμης χάκερ και σύμβουλος ασφαλείας

Ένας από τους πιο διάσημους κοινωνικούς μηχανικούς στην ιστορία είναι ο Κέβιν Μίτνικ. Ως παγκοσμίου φήμης χάκερ υπολογιστών και σύμβουλος ασφαλείας, ο Mitnick είναι επίσης συγγραφέας πολλών βιβλίων για την ασφάλεια των υπολογιστών, αφιερωμένων κυρίως στην κοινωνική μηχανική και σε μεθόδους ψυχολογικής επιρροής στους ανθρώπους. Το 2002, κυκλοφόρησε το βιβλίο «Η τέχνη της εξαπάτησης» υπό τη συγγραφή του, που αφηγείται πραγματικές ιστορίες χρήσης της κοινωνικής μηχανικής. Ο Κέβιν Μίτνικ υποστήριξε ότι είναι πολύ πιο εύκολο να αποκτήσεις κωδικό πρόσβασης με εξαπάτηση παρά να προσπαθήσεις να χακάρεις ένα σύστημα ασφαλείας

Αδελφοί Μπαντίρ

Παρά το γεγονός ότι τα αδέρφια Mundir, Mushid και Shadi Badir ήταν τυφλοί εκ γενετής, κατάφεραν να πραγματοποιήσουν πολλά μεγάλα προγράμματα απάτης στο Ισραήλ τη δεκαετία του 1990, χρησιμοποιώντας κοινωνική μηχανική και πλαστογράφηση φωνής. Σε τηλεοπτική τους συνέντευξη είπαν: «Μόνο όσοι δεν χρησιμοποιούν τηλέφωνο, ηλεκτρικό ρεύμα και φορητό υπολογιστή είναι πλήρως ασφαλισμένοι έναντι επιθέσεων δικτύου». Τα αδέρφια έχουν ήδη μπει στη φυλακή επειδή μπορούσαν να ακούσουν και να αποκρυπτογραφήσουν τους μυστικούς ήχους παρεμβολής των παρόχων τηλεφωνική επικοινωνία. Έκαναν μεγάλες κλήσεις στο εξωτερικό με έξοδα κάποιου άλλου, έχοντας επαναπρογραμματίσει τους υπολογιστές των παρόχων κινητής τηλεφωνίας με ήχους παρεμβολής.

Αρχάγγελος

Εξώφυλλο του περιοδικού Phrack

Ένας διάσημος χάκερ υπολογιστών και σύμβουλος ασφαλείας για το διάσημο αγγλόφωνο διαδικτυακό περιοδικό "Phrack Magazine", ο Αρχάγγελος έδειξε τις δυνατότητες των τεχνικών κοινωνικής μηχανικής αποκτώντας κωδικούς πρόσβασης από έναν τεράστιο αριθμό διάφορα συστήματα, εξαπατώντας αρκετές εκατοντάδες θύματα.

Αλλα

Οι λιγότερο γνωστοί κοινωνικοί μηχανικοί περιλαμβάνουν τους Frank Abagnale, David Bannon, Peter Foster και Stephen Jay Russell.

Τρόποι προστασίας από την κοινωνική μηχανική

Για να πραγματοποιήσουν τις επιθέσεις τους, οι επιτιθέμενοι που χρησιμοποιούν τεχνικές κοινωνικής μηχανικής συχνά εκμεταλλεύονται την ευπιστία, την τεμπελιά, την ευγένεια, ακόμη και τον ενθουσιασμό των χρηστών και των υπαλλήλων των οργανισμών. Δεν είναι εύκολο να αμυνθεί κανείς από τέτοιες επιθέσεις γιατί τα θύματα μπορεί να μην γνωρίζουν ότι έχουν εξαπατηθεί. Οι εισβολείς κοινωνικής μηχανικής έχουν γενικά τους ίδιους στόχους με κάθε άλλο εισβολέα: θέλουν χρήματα, πληροφορίες ή τους πόρους πληροφορικής της εταιρείας-θύματος. Για να προστατευτείτε από τέτοιες επιθέσεις, πρέπει να μελετήσετε τους τύπους τους, να κατανοήσετε τι χρειάζεται ο εισβολέας και να αξιολογήσετε τη ζημιά που θα μπορούσε να προκληθεί στον οργανισμό. Με όλες αυτές τις πληροφορίες, μπορείτε να ενσωματώσετε τα απαραίτητα μέτρα προστασίας στην πολιτική ασφαλείας σας.

Ταξινόμηση απειλών

Απειλές μέσω email

Πολλοί εργαζόμενοι λαμβάνουν καθημερινά μέσω εταιρικών και ιδιωτικών ταχυδρομικά συστήματαδεκάδες ακόμη και εκατοντάδες email. Φυσικά, με μια τέτοια ροή αλληλογραφίας είναι αδύνατο να δοθεί η δέουσα προσοχή σε κάθε γράμμα. Αυτό διευκολύνει πολύ την πραγματοποίηση επιθέσεων. Οι περισσότεροι χρήστες συστημάτων ηλεκτρονικού ταχυδρομείου είναι χαλαροί όσον αφορά την επεξεργασία τέτοιων μηνυμάτων, αντιλαμβανόμενοι αυτό το έργο ως το ηλεκτρονικό ανάλογο της μετακίνησης των χαρτιών από τον ένα φάκελο στον άλλο. Όταν ένας εισβολέας στέλνει ένα απλό αίτημα μέσω ταχυδρομείου, το θύμα του συχνά κάνει αυτό που του ζητείται χωρίς να σκέφτεται τις ενέργειές του. Emailμπορεί να περιέχει υπερσυνδέσμους που ωθούν τους εργαζόμενους να παραβιάζουν την προστασία του εταιρικού περιβάλλοντος. Τέτοιοι σύνδεσμοι δεν οδηγούν πάντα στις αναφερόμενες σελίδες.

Τα περισσότερα μέτρα ασφαλείας στοχεύουν στην αποτροπή της πρόσβασης μη εξουσιοδοτημένων χρηστών σε εταιρικούς πόρους. Εάν, κάνοντας κλικ σε έναν υπερσύνδεσμο που αποστέλλεται από έναν εισβολέα, ο χρήστης ανεβάσει έναν Trojan ή έναν ιό στο εταιρικό δίκτυο, αυτό θα διευκολύνει την παράκαμψη πολλών τύπων προστασίας. Ο υπερσύνδεσμος μπορεί επίσης να οδηγεί σε έναν ιστότοπο με αναδυόμενες εφαρμογές που ζητούν δεδομένα ή προσφέρουν βοήθεια. Όπως και με άλλους τύπους απάτης, οι περισσότερες αποτελεσματικός τρόποςπροστασία από κακόβουλες επιθέσεις πρέπει να είστε δύσπιστοι για τυχόν απροσδόκητα εισερχόμενα γράμματα. Για να προωθήσετε αυτήν την προσέγγιση σε ολόκληρο τον οργανισμό σας, η πολιτική ασφαλείας σας θα πρέπει να περιλαμβάνει συγκεκριμένες οδηγίες για τη χρήση email που καλύπτουν τα ακόλουθα στοιχεία.

  • Συνημμένα σε έγγραφα.
  • Υπερσυνδέσεις σε έγγραφα.
  • Αιτήματα για προσωπικές ή εταιρικές πληροφορίες που προέρχονται από το εσωτερικό της εταιρείας.
  • Αιτήματα για προσωπικές ή εταιρικές πληροφορίες που προέρχονται εκτός της εταιρείας.

Απειλές που σχετίζονται με τη χρήση υπηρεσιών άμεσων μηνυμάτων

Η ανταλλαγή άμεσων μηνυμάτων είναι μια σχετικά νέα μέθοδος μεταφοράς δεδομένων, αλλά έχει ήδη αποκτήσει μεγάλη δημοτικότητα μεταξύ των εταιρικών χρηστών. Λόγω της ταχύτητας και της ευκολίας χρήσης, αυτή η μέθοδος επικοινωνίας ανοίγει μεγάλες ευκαιρίες για διάφορες επιθέσεις: οι χρήστες την αντιμετωπίζουν ως τηλεφωνική σύνδεση και δεν τη συσχετίζουν με πιθανές απειλές λογισμικού. Οι δύο κύριοι τύποι επιθέσεων που βασίζονται στη χρήση υπηρεσιών άμεσων μηνυμάτων είναι η συμπερίληψη ενός συνδέσμου προς ένα κακόβουλο πρόγραμμα στο σώμα του μηνύματος και η παράδοση του ίδιου του προγράμματος. Φυσικά, η ανταλλαγή άμεσων μηνυμάτων είναι επίσης ένας τρόπος για να ζητήσετε πληροφορίες. Ένα από τα χαρακτηριστικά των υπηρεσιών άμεσων μηνυμάτων είναι η άτυπη φύση της επικοινωνίας. Σε συνδυασμό με τη δυνατότητα να εκχωρούν στον εαυτό τους οποιοδήποτε όνομα, αυτό διευκολύνει έναν εισβολέα να μιμηθεί κάποιον άλλο και αυξάνει σημαντικά τις πιθανότητές του να πραγματοποιήσει επιτυχώς μια επίθεση. Εάν μια εταιρεία σκοπεύει να εκμεταλλευτεί τις ευκαιρίες περικοπής κόστους και άλλα οφέλη παρέχονται μέσω άμεσων μηνυμάτων, είναι απαραίτητο να συμπεριληφθούν στις εταιρικές πολιτικές ασφάλειας παρεχόμενων μηχανισμών προστασίας έναντι σχετικών απειλών. Για να αποκτήσετε αξιόπιστο έλεγχο της ανταλλαγής άμεσων μηνυμάτων σε ένα εταιρικό περιβάλλον, υπάρχουν αρκετές απαιτήσεις που πρέπει να πληρούνται.

  • Επιλέξτε μια πλατφόρμα άμεσων μηνυμάτων.
  • Καθορίστε τις ρυθμίσεις ασφαλείας που καθορίζονται κατά την ανάπτυξη της υπηρεσίας άμεσων μηνυμάτων.
  • Καθορισμός αρχών για τη δημιουργία νέων επαφών
  • Ορίστε πρότυπα κωδικών πρόσβασης
  • Κάντε συστάσεις για τη χρήση της υπηρεσίας άμεσων μηνυμάτων.

Μοντέλο ασφαλείας πολλαπλών επιπέδων

Για την προστασία των μεγάλων εταιρειών και των υπαλλήλων τους από απατεώνες που χρησιμοποιούν τεχνικές κοινωνικής μηχανικής, χρησιμοποιούνται συχνά πολύπλοκα συστήματα ασφαλείας πολλαπλών επιπέδων. Μερικές από τις δυνατότητες και τις ευθύνες τέτοιων συστημάτων παρατίθενται παρακάτω.

  • Σωματική ασφάλεια. Εμπόδια που περιορίζουν την πρόσβαση στα κτίρια της εταιρείας και τους εταιρικούς πόρους. Μην ξεχνάτε ότι οι πόροι της εταιρείας, για παράδειγμα, τα δοχεία απορριμμάτων που βρίσκονται εκτός της επικράτειας της εταιρείας, δεν προστατεύονται φυσικά.
  • Δεδομένα. Επιχειρηματικές πληροφορίες: Λογαριασμοί, αλληλογραφία κ.λπ. Κατά την ανάλυση των απειλών και τον σχεδιασμό μέτρων προστασίας δεδομένων, είναι απαραίτητο να καθοριστούν οι αρχές για το χειρισμό του χαρτιού και ηλεκτρονικά μέσαδεδομένα.
  • Εφαρμογές. Προγράμματα που εκτελούνται από το χρήστη. Για να προστατεύσετε το περιβάλλον σας, πρέπει να σκεφτείτε πώς μπορούν να εκμεταλλευτούν οι εισβολείς ταχυδρομητές, υπηρεσίες άμεσων μηνυμάτων και άλλες εφαρμογές.
  • Υπολογιστές. Διακομιστές και συστήματα πελατών που χρησιμοποιούνται στον οργανισμό. Προστατεύει τους χρήστες από άμεσες επιθέσεις στους υπολογιστές τους ορίζοντας αυστηρές οδηγίες που διέπουν ποια προγράμματα μπορούν να χρησιμοποιηθούν σε εταιρικούς υπολογιστές.
  • Εσωτερικό δίκτυο. Το δίκτυο μέσω του οποίου αλληλεπιδρούν εταιρικά συστήματα. Μπορεί να είναι τοπικό, παγκόσμιο ή ασύρματο. ΣΕ τα τελευταία χρόνιαΛόγω της αυξανόμενης δημοτικότητας των μεθόδων απομακρυσμένης εργασίας, τα όρια των εσωτερικών δικτύων έχουν γίνει σε μεγάλο βαθμό αυθαίρετα. Οι υπάλληλοι της εταιρείας πρέπει να ενημερωθούν για το τι πρέπει να κάνουν για τον οργανισμό. ασφαλής εργασίασε οποιοδήποτε περιβάλλον δικτύου.
  • Περίμετρος δικτύου. Σύνορα μεταξύ εσωτερικά δίκτυαεταιρεία και εξωτερικό, όπως το Διαδίκτυο ή τα δίκτυα συνεργαζόμενων οργανισμών.

Ευθύνη

Προσχήματα και ηχογράφηση τηλεφωνικών συνομιλιών

Hewlett Packard

Η Patricia Dunn, πρόεδρος της Hewlett Packard Corporation, είπε ότι προσέλαβε μια ιδιωτική εταιρεία για να εντοπίσει τους υπαλλήλους της εταιρείας που ήταν υπεύθυνοι για τη διαρροή εμπιστευτικών πληροφοριών. Αργότερα, ο επικεφαλής της εταιρείας παραδέχτηκε ότι η πρακτική του προσχήματος και άλλες τεχνικές κοινωνικής μηχανικής χρησιμοποιήθηκαν κατά τη διάρκεια της ερευνητικής διαδικασίας.

Σημειώσεις

δείτε επίσης

Συνδέσεις

  • SocialWare.ru – Ιδιωτικό έργο κοινωνικής μηχανικής
  • - Κοινωνική μηχανική: βασικά. Μέρος Ι: Τακτικές χάκερ
  • Προστασία από επιθέσεις phishing.
  • Βασικές αρχές κοινωνικής μηχανικής - Securityfocus.com.
  • Κοινωνική Μηχανική, ο τρόπος USB – DarkReading.com.
  • Πρέπει η Κοινωνική Μηχανική να αποτελεί μέρος της δοκιμής διείσδυσης; – darknet.org.uk.
  • Τηλεφωνικά αρχεία «Προστασία των Καταναλωτών», Κέντρο Ηλεκτρονικής Πληροφόρησης Προστασίας Προσωπικών Δεδομένων Επιτροπή Εμπορίου, Επιστήμης και Μεταφορών των ΗΠΑ .
  • Plotkin, Hal. Σημείωμα στον Τύπο: Η προσχηματοποίηση είναι ήδη παράνομη.
  • Στριπτίζ για κωδικούς πρόσβασης – MSNBC.MSN.com.
  • Social-Engineer.org – social-engineer.org.

Κοινωνική μηχανική- μέθοδος απόκτησης της απαραίτητης πρόσβασης στις πληροφορίες, με βάση τα χαρακτηριστικά της ανθρώπινης ψυχολογίας. Ο κύριος στόχος της κοινωνικής μηχανικής είναι να αποκτήσει πρόσβαση σε εμπιστευτικές πληροφορίες, κωδικούς πρόσβασης, τραπεζικά δεδομένα και άλλα προστατευμένα συστήματα. Αν και ο όρος κοινωνική μηχανική εμφανίστηκε όχι πολύ καιρό πριν, η μέθοδος απόκτησης πληροφοριών με αυτόν τον τρόπο χρησιμοποιείται εδώ και πολύ καιρό. Υπάλληλοι της CIA και της KGB που θέλουν να πάρουν κάποια κρατικά μυστικά, πολιτικοί και υποψήφιοι βουλευτές και εμείς οι ίδιοι, αν θέλουμε να πάρουμε κάτι, συχνά χωρίς καν να το καταλάβουμε, χρησιμοποιούμε μεθόδους κοινωνικής μηχανικής.

Για να προστατευτείτε από τις επιπτώσεις της κοινωνικής μηχανικής, πρέπει να κατανοήσετε πώς λειτουργεί. Ας δούμε τους κύριους τύπους κοινωνικής μηχανικής και τις μεθόδους προστασίας από αυτούς.

Προφάσεις- αυτό είναι ένα σύνολο ενεργειών που εκπονήθηκαν σύμφωνα με ένα συγκεκριμένο, προκαταρτισμένο σενάριο, ως αποτέλεσμα του οποίου το θύμα μπορεί να δώσει κάποιες πληροφορίες ή να εκτελέσει μια συγκεκριμένη ενέργεια. Πιο συχνά αυτός ο τύποςΗ επίθεση περιλαμβάνει τη χρήση φωνητικών μέσων όπως Skype, τηλέφωνο κ.λπ.

Για να χρησιμοποιήσει αυτή την τεχνική, ο εισβολέας πρέπει αρχικά να έχει κάποια δεδομένα για το θύμα (όνομα υπαλλήλου, θέση, όνομα των έργων με τα οποία εργάζεται, ημερομηνία γέννησης). Ο εισβολέας αρχικά χρησιμοποιεί πραγματικά ερωτήματα με τα ονόματα των υπαλλήλων της εταιρείας και, αφού κερδίσει την εμπιστοσύνη, αποκτά τις πληροφορίες που χρειάζεται.

Phishing– μια τεχνική απάτης στο Διαδίκτυο με στόχο την απόκτηση εμπιστευτικών πληροφοριών χρήστη - δεδομένα εξουσιοδότησης διαφόρων συστημάτων. Ο κύριος τύπος επίθεσης phishing είναι ένα ψεύτικο email που αποστέλλεται στο θύμα και φαίνεται να είναι επίσημη επιστολή από σύστημα πληρωμήςή τράπεζα. Η επιστολή περιέχει μια φόρμα για την εισαγωγή προσωπικών δεδομένων (κωδικοί PIN, είσοδος και κωδικός πρόσβασης κ.λπ.) ή έναν σύνδεσμο προς την ιστοσελίδα όπου βρίσκεται μια τέτοια φόρμα. Οι λόγοι για την εμπιστοσύνη του θύματος σε τέτοιες σελίδες μπορεί να είναι διαφορετικοί: αποκλεισμός λογαριασμού, αποτυχία συστήματος, απώλεια δεδομένων κ.λπ.

Δούρειος ίππος– Αυτή η τεχνική βασίζεται στην περιέργεια, τον φόβο ή άλλα συναισθήματα των χρηστών. Ο εισβολέας στέλνει μια επιστολή στο θύμα μέσω email, το συνημμένο του οποίου περιέχει μια «ενημέρωση» προστασίας από ιούς, ένα κλειδί για να κερδίσετε χρήματα ή ενοχοποιητικά στοιχεία για έναν υπάλληλο. Μάλιστα το συνημμένο περιέχει κακόβουλο λογισμικό, το οποίο, αφού ο χρήστης το τρέξει στον υπολογιστή του, θα χρησιμοποιηθεί για τη συλλογή ή την αλλαγή πληροφοριών από έναν εισβολέα.

Qui about quo(quid pro quo) – αυτή η τεχνική περιλαμβάνει την επικοινωνία του εισβολέα με τον χρήστη μέσω email ή εταιρικού τηλεφώνου. Ένας εισβολέας μπορεί να συστηθεί, για παράδειγμα, ως υπάλληλος τεχνικής υποστήριξης και να ενημερώσει για την εμφάνιση τεχνικών προβλημάτων στο χώρο εργασίας. Περαιτέρω ενημερώνει για την ανάγκη εξάλειψής τους. Στη διαδικασία «επίλυσης» ενός τέτοιου προβλήματος, ο εισβολέας ωθεί το θύμα να προβεί σε ενέργειες που επιτρέπουν στον εισβολέα να εκτελέσει ορισμένες εντολές ή να εγκαταστήσει το απαραίτητο λογισμικό στον υπολογιστή του θύματος.

Οδικό μήλο– αυτή η μέθοδος είναι προσαρμογή του δούρειου ίππου και συνίσταται στη χρήση φυσικών μέσων (CD, μονάδες flash). Ένας εισβολέας συνήθως φυτεύει τέτοια μέσα σε δημόσιους χώρους στους χώρους της εταιρείας (χώροι στάθμευσης, καντίνες, χώροι εργασίας εργαζομένων, τουαλέτες). Προκειμένου ο εργαζόμενος να αναπτύξει ενδιαφέρον για σε αυτό το μέσο, ένας εισβολέας μπορεί να βάλει ένα λογότυπο εταιρείας και κάποιο είδος υπογραφής στα μέσα. Για παράδειγμα, «στοιχεία πωλήσεων», «μισθοί εργαζομένων», «φορολογική έκθεση» και άλλα.

Αντίστροφη κοινωνική μηχανική- αυτό το είδος επίθεσης στοχεύει στη δημιουργία μιας κατάστασης στην οποία το θύμα θα αναγκαστεί να απευθυνθεί στον εισβολέα για «βοήθεια». Για παράδειγμα, ένας εισβολέας μπορεί να στείλει μια επιστολή με αριθμούς τηλεφώνου και επαφές της «υπηρεσίας υποστήριξης» και μετά από κάποιο χρονικό διάστημα να δημιουργήσει αναστρέψιμα προβλήματα στον υπολογιστή του θύματος. Σε αυτήν την περίπτωση, ο χρήστης θα καλέσει ή θα στείλει email ο ίδιος στον εισβολέα και στη διαδικασία «διόρθωσης» του προβλήματος, ο εισβολέας θα μπορεί να λάβει τα δεδομένα που χρειάζεται.


Εικόνα 1 – Κύριοι τύποι κοινωνικής μηχανικής

Αντίμετρα

Ο κύριος τρόπος προστασίας από τις μεθόδους κοινωνικής μηχανικής είναι η εκπαίδευση των εργαζομένων. Όλοι οι εργαζόμενοι της εταιρείας θα πρέπει να προειδοποιούνται για τους κινδύνους της αποκάλυψης προσωπικών πληροφοριών και εμπιστευτικών εταιρικών πληροφοριών, καθώς και για τρόπους αποτροπής διαρροής δεδομένων. Επιπλέον, κάθε υπάλληλος της εταιρείας, ανάλογα με το τμήμα και τη θέση, θα πρέπει να έχει οδηγίες για το πώς και ποια θέματα μπορεί κανείς να επικοινωνήσει με τον συνομιλητή, ποιες πληροφορίες μπορεί να δοθούν στην υπηρεσία τεχνικής υποστήριξης, πώς και τι πρέπει να επικοινωνήσει ένας υπάλληλος της εταιρείας. λάβετε αυτές τις πληροφορίες ή άλλες πληροφορίες από άλλον υπάλληλο.

Επιπλέον, μπορούν να διακριθούν οι ακόλουθοι κανόνες:

  • Τα διαπιστευτήρια χρήστη είναι ιδιοκτησία της εταιρείας.
    • Την ημέρα της πρόσληψης, θα πρέπει να εξηγηθεί σε όλους τους εργαζόμενους ότι τα στοιχεία σύνδεσης και οι κωδικοί πρόσβασης που τους έχουν εκδοθεί δεν μπορούν να χρησιμοποιηθούν για άλλους σκοπούς (σε ιστότοπους, π.χ. προσωπική αλληλογραφίακ.λπ.), μεταβίβαση σε τρίτους ή άλλους υπαλλήλους της εταιρείας που δεν έχουν το δικαίωμα να το πράξουν. Για παράδειγμα, πολύ συχνά, όταν πηγαίνει διακοπές, ένας υπάλληλος μπορεί να μεταφέρει τα στοιχεία της εξουσιοδότησής του στον συνάδελφό του, ώστε να μπορεί να εκτελέσει κάποια εργασία ή να δει συγκεκριμένα δεδομένα κατά την απουσία του.
  • Είναι απαραίτητο να διεξάγεται εισαγωγική και τακτική εκπαίδευση για τους υπαλλήλους της εταιρείας με στόχο την αύξηση των γνώσεων σχετικά με την ασφάλεια των πληροφοριών.
    • Η διεξαγωγή τέτοιων ενημερώσεων θα επιτρέψει στους υπαλλήλους της εταιρείας να έχουν ενημερωμένες πληροφορίες σχετικά με τις υπάρχουσες μεθόδους κοινωνικής μηχανικής και επίσης να μην ξεχνούν τους βασικούς κανόνες για την ασφάλεια των πληροφοριών.
  • Είναι υποχρεωτικό να υπάρχουν κανονισμοί ασφαλείας, καθώς και οδηγίες στις οποίες πρέπει να έχει πάντα πρόσβαση ο χρήστης. Οι οδηγίες θα πρέπει να περιγράφουν τις ενέργειες των εργαζομένων εάν προκύψει μια συγκεκριμένη κατάσταση.
    • Για παράδειγμα, οι κανονισμοί μπορούν να προσδιορίσουν τι πρέπει να γίνει και πού να απευθυνθεί εάν ένα τρίτο μέρος επιχειρήσει να ζητήσει εμπιστευτικές πληροφορίες ή διαπιστευτήρια εργαζομένων. Τέτοιες ενέργειες θα σας επιτρέψουν να αναγνωρίσετε τον εισβολέα και να αποτρέψετε τη διαρροή πληροφοριών.
  • Οι υπολογιστές των εργαζομένων θα πρέπει να διαθέτουν πάντα ενημερωμένο λογισμικό προστασίας από ιούς.
    • Πρέπει επίσης να εγκατασταθεί ένα τείχος προστασίας σε υπολογιστές εργαζομένων.
  • ΣΕ εταιρικό δίκτυοη εταιρεία πρέπει να χρησιμοποιεί συστήματα ανίχνευσης και πρόληψης επιθέσεων.
    • Είναι επίσης απαραίτητο να χρησιμοποιηθούν συστήματα για την αποτροπή διαρροών εμπιστευτικών πληροφοριών. Όλα αυτά θα μειώσουν τον κίνδυνο φυτικών προσβολών.
  • Όλοι οι εργαζόμενοι πρέπει να λαμβάνουν οδηγίες πώς να συμπεριφέρονται με τους επισκέπτες.
    • Απαιτούνται σαφείς κανόνες για να διαπιστωθεί η ταυτότητα του επισκέπτη και να τον συνοδεύσουν. Οι επισκέπτες πρέπει πάντα να συνοδεύονται από έναν από τους υπαλλήλους της εταιρείας. Εάν ένας υπάλληλος συναντήσει έναν άγνωστο σε αυτόν επισκέπτη, πρέπει να ρωτήσει με τη σωστή μορφή για ποιο σκοπό βρίσκεται ο επισκέπτης σε αυτό το δωμάτιο και πού τον συνοδεύουν. Εάν είναι απαραίτητο, ο υπάλληλος πρέπει να αναφέρει άγνωστους επισκέπτες στην υπηρεσία ασφαλείας.
  • Είναι απαραίτητο να περιοριστούν τα δικαιώματα χρήστη στο σύστημα όσο το δυνατόν περισσότερο.
    • Για παράδειγμα, μπορείτε να περιορίσετε την πρόσβαση σε ιστότοπους και να απαγορεύσετε τη χρήση αφαιρούμενα μέσα. Σε τελική ανάλυση, εάν ένας υπάλληλος δεν μπορεί να μεταβεί σε έναν ιστότοπο phishing ή να χρησιμοποιήσει μια μονάδα flash με " Δούρειος ίππος”, τότε επίσης δεν θα μπορεί να χάσει προσωπικά δεδομένα.

Με βάση όλα τα παραπάνω, μπορούμε να συμπεράνουμε: ο κύριος τρόπος προστασίας από την κοινωνική μηχανική είναι η εκπαίδευση των εργαζομένων. Είναι απαραίτητο να γνωρίζουμε και να θυμόμαστε ότι η άγνοια δεν είναι δικαιολογία. Κάθε χρήστης του συστήματος θα πρέπει να γνωρίζει τους κινδύνους της αποκάλυψης εμπιστευτικών πληροφοριών και να γνωρίζει τρόπους για να αποτρέψει τη διαρροή. Προειδοποιημένος σημαίνει προετοιμασμένος!

Κάθε μεγάλος ή και μικρός οργανισμός έχει αδυναμίες στην ασφάλεια των πληροφοριών. Ακόμα κι αν όλοι οι υπολογιστές της εταιρείας έχουν το καλύτερο λογισμικό, όλοι οι εργαζόμενοι έχουν τους ισχυρότερους κωδικούς πρόσβασης και όλοι οι υπολογιστές παρακολουθούνται από τους πιο έξυπνους διαχειριστές, μπορείτε να βρείτε ένα αδύναμο σημείο. Και ένα από τα πιο σημαντικά «αδύνατα σημεία» είναι τα άτομα που εργάζονται στην εταιρεία και έχουν πρόσβαση συστήματα υπολογιστώνκαι είναι σε μεγαλύτερο ή μικρότερο βαθμό φορέας πληροφοριών για τον οργανισμό. Οι άνθρωποι που σχεδιάζουν να κλέψουν πληροφορίες, ή με άλλα λόγια οι χάκερ, επωφελούνται μόνο από τον ανθρώπινο παράγοντα. Και είναι στους ανθρώπους που προσπαθούν διάφορους τρόπουςεπιρροές που ονομάζονται κοινωνική μηχανική. Θα προσπαθήσω να μιλήσω γι' αυτό σήμερα στο άρθρο και για τον κίνδυνο που εγκυμονεί για τους απλούς χρήστες και οργανισμούς.

Ας καταλάβουμε πρώτα τι είναι η κοινωνική μηχανική - είναι ένας όρος που χρησιμοποιείται από κροτίδες και χάκερ που αναφέρεται σε μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες, αλλά είναι εντελώς αντίθετος από την παραβίαση ενός χαρακτηρισμού λογισμικού. Ο στόχος δεν είναι να χακάρετε, αλλά να εξαπατήσετε τους ανθρώπους ώστε οι ίδιοι να δώσουν κωδικούς πρόσβασης ή άλλες πληροφορίες που μπορούν αργότερα να βοηθήσουν τους χάκερ να παραβιάσουν την ασφάλεια του συστήματος. Αυτός ο τύπος απάτης περιλαμβάνει την κλήση ενός οργανισμού μέσω τηλεφώνου και τον εντοπισμό των εργαζομένων που έχουν τις απαιτούμενες πληροφορίες και, στη συνέχεια, την κλήση του αναγνωρισμένου διαχειριστή από έναν ανύπαρκτο υπάλληλο που φέρεται ότι έχει προβλήματα πρόσβασης στο σύστημα.

Η κοινωνική μηχανική σχετίζεται άμεσα με την ψυχολογία, αλλά αναπτύσσεται ως ξεχωριστό μέρος της. Στις μέρες μας, η μηχανική προσέγγιση χρησιμοποιείται πολύ συχνά, ειδικά για την απαρατήρητη εργασία ενός διαρρήκτη να κλέψει έγγραφα. Αυτή η μέθοδος χρησιμοποιείται για την εκπαίδευση κατασκόπων και μυστικών πρακτόρων για μυστική διείσδυση χωρίς να αφήνει ίχνη.

Ένα άτομο μπορεί να σκεφτεί, να συλλογιστεί, να καταλήξει σε ένα ή άλλο συμπέρασμα, αλλά τα συμπεράσματα μπορεί να μην αποδεικνύονται πάντα αληθινά, δικά του και να μην επιβάλλονται εξωτερικά, όπως τα χρειάζεται κάποιος άλλος. Αλλά το πιο ενδιαφέρον και το κύριο πράγμα που βοηθά τους απατεώνες είναι ότι ένα άτομο μπορεί να μην παρατηρήσει ότι τα συμπεράσματά του είναι ψευδή. Μέχρι την τελευταία στιγμή μπορεί να πιστεύει ότι τα αποφάσισε όλα μόνος του. Είναι αυτό το χαρακτηριστικό που χρησιμοποιούν οι άνθρωποι που ασκούν την κοινωνική μηχανική.

Το σημείο της κοινωνικής μηχανικής είναι η κλοπή πληροφοριών. Οι άνθρωποι που το κάνουν αυτό προσπαθούν να κλέψουν πληροφορίες χωρίς περιττή προσοχή και στη συνέχεια τις χρησιμοποιούν κατά την κρίση τους: να πουλήσουν ή να εκβιάσουν τον αρχικό ιδιοκτήτη. Σύμφωνα με στατιστικά στοιχεία, πολύ συχνά αποδεικνύεται ότι τέτοια κόλπα συμβαίνουν κατόπιν αιτήματος μιας ανταγωνιστικής εταιρείας.

Τώρα ας δούμε τρόπους κοινωνικής μηχανικής.

Ανθρώπινη άρνηση υπηρεσίας (HDoS)

Η ουσία αυτής της επίθεσης είναι να εξαναγκάσει αθόρυβα ένα άτομο να μην αντιδράσει σε ορισμένες καταστάσεις.

Για παράδειγμα, η προσομοίωση μιας επίθεσης σε κάποιο λιμάνι χρησιμεύει ως ελιγμός εκτροπής. Ο διαχειριστής του συστήματος αποσπάται από σφάλματα και αυτή τη στιγμή διεισδύουν εύκολα στον διακομιστή και λαμβάνουν τις πληροφορίες που χρειάζονται. Αλλά ο διαχειριστής μπορεί να είναι σίγουρος ότι δεν μπορεί να υπάρχουν σφάλματα σε αυτήν τη θύρα και τότε η διείσδυση του χάκερ θα γίνει αμέσως αντιληπτή. Το όλο νόημα αυτής της μεθόδου είναι ότι ο εισβολέας πρέπει να γνωρίζει την ψυχολογία και το επίπεδο γνώσης του διαχειριστή του συστήματος. Χωρίς αυτή τη γνώση, δεν είναι δυνατή η διείσδυση στον διακομιστή.

Μέθοδος κλήσης.

Αυτή η μέθοδος σημαίνει τηλεφωνική κλήσητο λεγόμενο «θύμα». Ο απατεώνας καλεί το θύμα χρησιμοποιώντας τόσο σωστά εκφωνημένο λόγο όσο και ψυχολογικά σωστό ερωτήσεις που τέθηκαντην παραπλανά και ανακαλύπτει όλες τις απαραίτητες πληροφορίες.

Για παράδειγμα: ένας απατεώνας καλεί και λέει ότι, κατόπιν αιτήματος του διαχειριστή, ελέγχει τη λειτουργικότητα του συστήματος ασφαλείας. Στη συνέχεια ζητά κωδικό πρόσβασης και όνομα χρήστη και μετά όλα τα στοιχεία που χρειάζεται είναι στην τσέπη του.

Οπτική επαφή.

Ο πιο δύσκολος τρόπος. Μόνο επαγγελματικά εκπαιδευμένοι άνθρωποι μπορούν να το αντιμετωπίσουν. Το νόημα αυτής της μεθόδου είναι ότι πρέπει να βρείτε μια προσέγγιση στο θύμα. Μόλις βρεθεί μια προσέγγιση, θα είναι δυνατό να χρησιμοποιηθεί για να ευχαριστήσει το θύμα και να κερδίσει την εμπιστοσύνη του. Και μετά από αυτό, το ίδιο το θύμα θα δώσει όλες τις απαραίτητες πληροφορίες και θα της φαίνεται ότι δεν λέει τίποτα σημαντικό. Μόνο ένας επαγγελματίας μπορεί να το κάνει αυτό.

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ.

Αυτός είναι ο πιο συνηθισμένος τρόπος εξαγωγής πληροφοριών από τους χάκερ. Στις περισσότερες περιπτώσεις, οι χάκερ στέλνουν μια επιστολή στο θύμα από κάποιον που φέρεται να γνωρίζουν. Το πιο δύσκολο πράγμα σε αυτή τη μέθοδο είναι να αντιγράψεις τον τρόπο και το στυλ γραφής αυτού του φίλου. Εάν το θύμα πιστεύει στην εξαπάτηση, τότε εδώ μπορείτε ήδη να εξαγάγετε όλες τις πληροφορίες που μπορεί να χρειαστεί ο χάκερ.